Le présent accord sur le traitement des données (« Accord sur le Traitement des Données à caractère personnel » ou « ATD ») fait partie intégrante, avec les Conditions Générales de Services (les « CGS ») des « Conditions Générales » applicables entrevous (le « Client » ou le « Responsable du Traitement »), d’une part,
ET
Dolphins (et sa marque Qomon),
dont le siège social est situé 7 place de l'Hôtel de Ville — 93600 Aulnay-sous-Bois,
Numéro Siret : 887 750 370 R.C.S. BOBIGNY,
agissant pour et au nom de ses sociétés affiliées, représentée par son Président / Directeur Général,
ci-après dénommée « Qomon » ou le « Sous-traitant », d’autre part,
(Ensemble les “Parties”).
En acceptant les CGS de l’application Qomon, vous reconnaissez que dans le cadre des Services, le Client agissant en tant que Responsable du Traitement, est amené à collecter et/ou fournir des Données à caractère personnel, ce qui qui implique un traitement de Données à caractère personnel par Qomon, pour le compte du Client, en qualité de sous-traitant.
Les Parties souhaitent fixer leurs droits et obligations au titre de ce traitement, conformément au RGPD.
IL EST CONVENU CE QUI SUIT :
1.1 Sauf définition contraire, les termes et expressions utilisés dans le présent ATD ont la signification suivante :
1.1.1 « Accord sur le traitement des Données à Caractère Personnel » ou « ATD » désigne le présent document sur le traitement des Données à caractère personnel ;
1.1.2 « Données à caractère personnel » désigne toute information relative à une personne physique identifiée ou identifiable (« Personne concernée »). Est réputée identifiable, une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ;
1.1.3 « Sous-traitant ultérieur » désigne un sous-traitant secondaire dans le cadre du traitement des Données à caractère personnel ;
1.1.4 « Lois sur la Protection des Données à caractère personnel » désigne les lois et règlements en vigueur au sein de l’Union Européenne, de l’EEE et de leurs Etats-membres relatifs à la protection des Données à caractère personnel, notamment le RGPD ou la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dans sa version en vigueur (la « Loi Informatique et Libertés ») ;
1.1.5 « EEE » désigne l'Espace économique européen ;
1.1.6 « Responsable du Traitement » désigne toute entité déterminant les finalités et les moyens du Traitement. Pour les besoins des présentes, le Client agit à l’égard de Qomon en qualité de Responsable du Traitement ;
1.1.7 « RGPD » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des Données à caractère personnel et à la libre circulation de ces données, abrogeant la directive 95/46/CE ;
1.1.8 « Services » désigne les missions ou services fournis par le Sous-traitant au titre des CGS ;
1.1.9 « Sous-traitant » désigne une entité traitant les Données à caractère personnel pour le compte, sur instruction et sous l’autorité du Responsable du Traitement. Dans le cadre du présent ATD, Qomon agit en qualité de Sous-traitant.
1.2 Les termes « Commission », « Personne concernée », « État membre », « Violation de données à caractère personnel », « Traitement » et « Autorité de contrôle » ont la même signification que celle qui leur est donnée au sein du RGPD, et les termes correspondants doivent être interprétés en conséquence.
2.1 Description du traitement
La fourniture des Services au titre des Conditions Générales de Service (ou CGS). .
Les Données à Caractère Personnel feront l'objet des activités de traitement de base suivantes :
Collecte ; Segmentation ; Organisation ; Conservation ; Consultation par le Client ; Diffusion par le Client ; Comparaison ; Hébergement ; Maintenance et support informatique ; Saisie ; Enregistrement ; Modification.
Les Données à caractère personnel traitées sont généralement les catégories de données suivantes :
Par ailleurs, selon le Service concerné (en particulier dans le cadre de la création de pétitions en ligne, de questionnaires en ligne ou formulaires en ligne) et sous sa seule responsabilité, le Client peut être amené à choisir d’autres catégories de données de Personnes concernées à collecter, et déterminer leur nature obligatoire ou facultative.
Les Données à caractère personnel traitées concernent les catégories suivantes de Personnes Concernées : Client, Utilisateurs finaux, toute personne dont le Client traite les Données à caractère personnel.
La durée des CGS, sous réserve d’obligations légales applicables.
2.2 Le Sous-traitant doit :
2.2.1 se conformer à toutes les Lois sur la Protection des Données à caractère personnel dans le cadre du Traitement qu’il effectue pour le compte du Client ;
2.2.2 ne pas traiter les Données à caractère personnel du Client autrement que selon ses instructions documentées et pour les finalités décrites au présent ATD ; s'il considère qu’une instruction constitue une violation du RGPD ou de toute autre disposition des Lois sur la Protection des Données à caractère personnel, il en informe immédiatement le Client. En outre, s’il est tenu de procéder à un transfert de Données à caractère personnel vers un pays situé hors de l’EEE, en vertu du droit de l’Union Européenne ou du droit de l’Etat-membre auquel il est soumis, il en informe le Client avant le Traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public ;
2.2.3 garantir la confidentialité des Données à caractère personnel traitées dans le cadre des CGS ;
2.2.4 conserver un registre de tout Traitement des Données à caractère personnel qu’il effectue pour le compte du Responsable du Traitement, y compris les registres de l’activité de traitement requis en vertu de l’article 30, paragraphe 2 du RGPD, et fournir une copie de ces registres au Responsable du Traitement sur demande ;
2.2.5 prendre des mesures raisonnables pour garantir la fiabilité de tout employé ou agent sous sa responsabilité pouvant avoir accès aux Données à caractère personnel du Client, et s'assurer dans chaque cas que l'accès à ceux-ci est strictement limité aux personnes qui ont besoin de connaître/accéder auxdites Données à caractère personnel, et que toutes ces personnes sont (i) soumises à des engagements de confidentialité ou à des obligations professionnelles ou légales de confidentialité, et (ii) reçoivent la formation nécessaire en matière de gestion des Données à caractère personnel.
2.2.6 Le Client donne instruction au Sous-traitant de traiter les Données à caractère personnel du Client aux fins des services prévus par les CGS. Par défaut, l’exécution de l’objet des CGS constituent les instructions documentées du Client. Toute instruction supplémentaire concernant le traitement par Qomon devra être donnée par le Client sous forme écrite. Les instructions supplémentaires documentées du Client sont à la charge de celui-ci et sont traitées sous réserve de leur faisabilité technique et organisationnelle et sauf disposition contraire expresse contenue dans les CGS.
2.3 Le Client, dans le cadre de l’ATD, s’engage à :
2.3.1 fournir à Qomon toutes les données dont elle a besoin pour remplir ses obligations au titre des CGS et des présentes en temps utile, et est responsable de la qualité des Données à caractère personnel transmises à Qomon ;
2.3.2 consigner par écrit toute instruction concernant le Traitement des Données à caractère personnel transmises à Qomon ;
2.3.3 informer Qomon immédiatement de toute erreur ou irrégularité dont il a connaissance en ce qui concerne les mesures de protection des Données à caractère personnel, ou de ses instructions lors de l’examen des résultats des Services confiés à Qomon ;
2.3.4 s’assurer préalablement et pendant toute la durée du Traitement, du respect par Qomon de ses obligations prévues par le RGPD.
2.4 De manière générale, les Données à caractère personnel confiées par le Client à Qomon demeurent sous son entière responsabilité Le Client est ainsi responsable des Données à caractère personnel qu’il verse sur la plateforme Qomon ainsi que de toutes Données à caractère personnel collectée par le biais de la plateforme Qomon et plus généralement des Services.
En particulier, et en fonction du Service concerné, le Client garantit qu'il a obtenu le consentement, si nécessaire, de toutes les Personnes concernées et qu’en tout état de cause ces dernières ont été dûment informées avant la collecte, le traitement, le stockage, l'utilisation et le partage de leurs Données à caractère personnel ; le Client se portant fort du respect de ses obligations au titre du présent ATD pour l’ensemble de ses Utilisateurs et envers chaque Personne concernée par les traitements.
2.5 De manière générale, le Client garantit à Qomon qu’il respecte les obligations lui incombant au titre des Lois sur la Protection des Données à caractère personnel et/ou de toute autres dispositions légales et/ou réglementaires locales qui lui sont applicables. A ce titre, le Client garantit Qomon contre tout recours, plainte ou réclamation émanant d’une personne physique, dont les Données à caractère personnel seraient traitées dans le cadre des CGS et qui résulterait du non-respect par le Client ou un tiers d’une de ses obligations au titre des Lois sur la Protection des Données à caractère personnel et/ou de toute autres dispositions légales et/ou réglementaires locales qui lui seraient applicables.
3.1 Le Sous-traitant prend en considération, s’agissant de ses outils, produits, applications ou services, les principes de protection des Données à caractère personnel dès la conception et par défaut.
3.2 En tenant compte de l'état de l'art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, le Sous-traitant met en œuvre, en ce qui concerne les Données à caractère personnel du Client, des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté à ce risque, y compris, le cas échéant, les mesures visées à l'article 32(1) du RGPD.
Le Client autorise Qomon à faire appel à un Sous-traitant ultérieur pour mener des activités de Traitement spécifiques. La liste des sous-traitants ultérieurs de Qomon, à l’exception des prestataires freelance voués à n’intervenir que ponctuellement, est fournie sur demande du Client.
Qomon s’engage à informer le Client de tout changement envisagé concernant l’ajout ou le remplacement des Sous-traitants ultérieurs dans les plus brefs délais.
Le Client dispose d’un délai de dix (10) jours ouvrés à compter de la date de réception de cette information pour présenter ses objections raisonnables et légitimes par écrit. Le Client reconnaît et accepte que l’absence d’objection dans ce délai équivaut à une acceptation de sa part du Sous-traitant ultérieur. En cas d’objection, Qomon dispose de la possibilité de répondre au Client pour apporter des éléments de nature à lever ces objections. Si le Client maintient ses objections, les Parties s’engagent à se rencontrer et à échanger de bonne foi concernant la poursuite de leur relation.
5.1 En prenant en compte la nature du Traitement, le Sous-traitant assiste le Client en mettant en œuvre les mesures techniques et organisationnelles appropriées, dans la mesure où cela est possible, pour l'accomplissement des obligations du Client relatives aux droits des personnes concernées.
5.2 Dans ce cadre, le Sous-traitant s’engage à :
5.2.1 informer le Client s'il reçoit une demande d'une Personne concernée concernant ses Données à caractère personnel faisant l’objet d’un Traitement par le Sous-traitant pour le compte du Client, dès sa réception ; et
5.2.2 ne pas répondre à cette demande sauf sur les instructions expresses du Client ; ou, le cas échéant, dans le cadre des lois auxquelles le Sous-traitant est soumis. Dans ce cas le Sous-traitant doit, dans la mesure permise par la loi ou les autorités, informer le Client de cette exigence légale avant de répondre à la demande.
Enfin, dans la mesure du possible et à sa discrétion, en fonction du Service concerné, le Sous-traitant peut mettre à disposition du Client des moyens techniques et /ou des aides lui permettant de répondre à ses obligations d’information des personnes concernées et, le cas échéant, de recueil du consentement via des supports types au titre des Lois sur la Protection des Données à caractère personnel. Afin de lever toute ambiguïté, il est souligné que le Sous-traitant ne saurait être responsable de l’utilisation (ou non) de ces outils et/ou supports transmis à titre informatif ni de leur contenu tel que validé / complété par le Client.
Le Sous-traitant doit notifier le Client dans les meilleurs délais dès qu'il a connaissance d'une violation des Données à caractère personnel. Ladite notification sera accompagnée de toute documentation utile afin de permettre au Client, si nécessaire, de notifier ladite Violation de Données à caractère personnel à l’autorité de contrôle compétente et aux Personnes Concernées.
Dans la mesure du possible et en prenant en compte la nature du Traitement, le Sous-traitant s’engage à assister le Client dans le cadre de toute analyse d'impact relatives à la protection des Données à caractère personnel faisant l’objet du Traitement, ainsi que dans le cas des consultations avec les autorités de contrôle ou d'autres autorités compétentes en matière de confidentialité des Données à caractère personnel.
Cette assistance raisonnable ne sera fournie que dans la mesure où le Client ne peut pas accéder aux informations concernées par d'autres moyens. Ainsi, si le Client en fait la demande écrite, et sous réserve d'un préavis de dix (10) jours ouvrés, Qomon s'engage à communiquer au Client toute documentation pertinente en sa possession et non protégée par des droits de propriété intellectuelle, pour lui permettre de réaliser son analyse d'impact.
Toute demande d'assistance supplémentaire fera l'objet d'une tarification dans les conditions applicables au moment de la demande.
Afin de lever toute ambiguïté, il est rappelé que Qomon n'est pas responsable de la réalisation et/ou de la mise à jour de l'analyse d'impact du Client.
A la fin de la relation contractuelle entre les Parties faisant l’objet des CGS et du présent ATD, et quelle qu’en soit la cause, le Sous-traitant s’engage à restituer et/ou détruire les Données à caractère personnel confiées par le Client dans le cadre de l’exécution de l’ATD, sous réserve des obligations légales applicables au Sous-traitant.
Sous réserve du présent article 9, le Sous-traitant met à la disposition du Client, sur demande, toutes les informations nécessaires pour démontrer le respect du présent ATD, et permet et contribue aux audits, y compris les inspections, par le Client ou un auditeur mandaté par le Client en ce qui concerne le Traitement des Données à caractère personnel du Client dans les conditions ci-après prévues.
Dans la limite d’un audit par période annuelle et moyennant un délai de prévenance de dix (10) jours ouvrés - sous réserve d’avoir préalablement sollicité par écrit auprès de Qomon les informations visant à démontrer le respect par cette dernière de ses obligations en qualité de Sous-traitant et si les réponses ne lui semblent pas suffisantes (sauf en cas de risque imminent relatif à la sécurité des Données à caractère personnel) - le Client pourra notifier à Qomon par lettre recommandée avec demande d’avis de réception, une demande d’audit de conformité sur site, relatif au traitement des Données à caractère personnel dans le cadre des CGS dûment motivée, et dans laquelle le Client désignera l’auditeur désigné, la date et le périmètre d’intervention de l’auditeur. Afin de lever toute ambiguïté, il est précisé que le périmètre de l’audit sur site sera strictement limité aux processus de Qomon permettant d’opérer les Traitements en sa qualité de Sous-traitant des Traitements confiées par le Client dans le cadre des CGS.
L’auditeur désigné devra être un auditeur indépendant, être professionnellement reconnu dans son domaine, et ne pas être un concurrent de Qomon. L’auditeur devra impérativement être soumis à un engagement écrit de confidentialité conclu préalablement au démarrage de l’audit.
Le Client prend à sa charge tous les frais occasionnés par l’audit, incluant de manière non limitative les honoraires de l’auditeur, et rembourse à Qomon toutes les dépenses et frais occasionnés par cet audit, y compris ceux correspondant au temps consacré à l’audit par le personnel de Qomon au-delà des quatre (4) jours/homme susvisés, en fonction du taux jour/homme moyen du personnel de Qomon ayant collaboré à l’audit.
Le Client s’engage à communiquer les résultats de l’audit à Qomon, et s’il est constaté que Qomon ne respecte pas ses obligations au titre des Lois sur la Protection des Données à caractère personnel, Qomon prendra toutes les mesures nécessaires pour y remédier et informera le Client des mesures prises à ce titre. Les Parties reconnaissent que tous rapports et informations obtenues dans le cadre de cet audit sont des informations confidentielles.
Si les Données à caractère personnel traitées en vertu du présent ATD sont transférées d'un pays de l’EEE vers un pays situé en dehors de l’EEE, et lorsque le transfert n'est pas autorisé par une décision d'adéquation de la Commission européenne conformément à l'article 45 du RGPD, le Sous-traitant s’engage à garantir un niveau de protection des Données à caractère personnel équivalent aux exigences légales européennes et à encadrer ledit transfert conformément aux Lois sur la Protection des Données à caractère personnel, étant précisé que dans ce contexte, pour chaque transfert et mécanisme choisi, le Sous-traitant a effectué un test d'équivalence substantielle aux protections garanties par le RGPD, et a ajouté des garanties supplémentaires appropriées lorsque cela était nécessaire.
En particulier, s’agissant des transferts opérés entre le Sous-traitant et ses Sous-traitants ultérieurs, le cas échéant, le Responsable du Traitement autorise expressément le recours aux clauses contractuelles types adoptées par la Commission européenne lors de sa décision du 27 juin 2021. Le Sous-traitant s’engage à adresser au Responsable du Traitement - sur demande - une copie signée desdites clauses contractuelles types.
Pour toute information sur la manière dont nous traitons les données, lorsque Qomon agit en qualité de responsable de traitement, consultez notre politique de confidentialité.
11.1 Confidentialité. Chaque partie doit préserver la confidentialité du présent accord et des informations qu'elle reçoit au sujet de l'autre partie et de ses activités dans le cadre du présent accord ("Informations confidentielles") et ne doit pas utiliser ou divulguer ces Informations confidentielles sans le consentement écrit préalable de l'autre partie, sauf dans la mesure où :
(a) la divulgation est exigée par la loi ;
(b) les informations pertinentes sont déjà dans le domaine public.
11.2 Avis. Toutes les notifications et communications données en vertu du présent Accord doivent être faites par écrit et seront remises en mains propres, envoyées par la poste ou envoyées par courrier électronique à l'adresse électronique indiquée comme email générique ou référent lors de la souscription aux Services. Chaque partie s’engage à notifier tout changement de coordonnées.
12.1 Le présent Contrat est régi par le droit français.
12.2 Tout litige relatif au présent contrat, que les Parties ne parviendraient pas à résoudre à l'amiable, sera soumis à la compétence exclusive des tribunaux de Paris, France.
EN FOI DE QUOI, le présent contrat est conclu avec effet à la date à laquelle le Client signe un devis Qomon ou commence un abonnement Qomon, acceptant ainsi les Conditions Générales de Service (CGS) et le présent contrat.
